17 dic 2010

Osasunbidea deberá auditar los hospitales navarros en materia de seguridad de protección de datos

Hoy quiero hacer eco de una noticia publicada en el Diario de Noticias de Navarra:

Kutz encarga el trabajo a una firma pública

Salud debe auditar la seguridad de las historias clínicas para cumplir la ley de protección de datos

La agencia de protección de datos le requiere a hacer la revisión antes del 1 de abril de 2011

Kutz encarga el trabajo a una firma pública y destaca que Navarra es una de las comunidades con mayor cumplimiento de la norma

Como siempre habrá que ver hasta donde se llega en materia de seguridad en la auditoría que van a llevar a cabo hasta abril de 2011. Desde mi punto de vista deberían abordar el tema teniendo en cuenta los diferentes riesgos de fuga y/o perdida de información, también deberían tener en cuenta la concienciación del personal de los centros de salud en cuanto a confidencialidad y al uso de la información se refiere. Ya sea este uso en soporte papel, en soporte telemático, o en el tratamiento y utilización del sistema de información de Osasunbidea. Asimismo, en mi opinión, entiendo que deberían reforzar más las medidas de seguridad y empezar a dar un mayor cumplimiento entre otras a todas las medidas recogidas en la propia Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) de 13 de diciembre, así como aquellas que el Real Decreto 1720/2007 de 21 de diciembre (RDLOPD) establece y desarrolla. Asimismo, también hay que tener en cuenta aquellas que la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) y su Real Decreto 3/2010, de 8 de enero, el cual regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica establece. Para esto último, en teoría disponen de un plazo de implantación de las citadas medidas de seguridad de menos de un mes ya que vence a principios de enero de 2011.

¿Les dará tiempo a cumplir con lo que el Real Decreto 3/2010 establece? O tan solo se dedicarán a cumplir con el plazo de cumplimiento de la normativa sobre protección de datos que ellos mismos se han impuesto (abril de 2011) con el final de la auditoría que recientemente han encargado a una entidad pública.

Se admiten apuestas... :)

16 dic 2010

Los treinta

Hoy me han caído los treinta, la verdad es que casi no me he dado ni cuenta de que hoy era mi cumpleaños, me he olvidado el móvil en casa y además me ha tocado trabajar en Bilbao así que casi ha sido como un día más...

Me consuelo pensando con lo que se dice ahora de que los treinta son los veinte del siglo veintiuno jejeje :)

1 dic 2010

Las pymes y la LOPD

Hoy me voy a hacer eco de la siguiente noticia: “Solo un 21% de las pymes cuenta con un plan en protección de datos”, noticia publicada en el periódico digital “5 Días” en la que se destacaba que solo el 21% de las Pymes Españolas cuentan con un plan en materia de protección de datos, por lo que casi el 80% de las Pymes Españolas incumplen totalmente los preceptos recogidos en la vigente normativa de protección de datos de carácter personal a pesar de que más del 70% de las compañías españolas reconoce la importancia de tener una estrategia corporativa en materia de protección de datos. Además “5 Días” afirma también que el 13,7% de las mismas desconoce la normativa mientras que el 26% piensa que no está afecto por la normativa de protección de datos. Todos estos datos proceden de un estudio realizado por ISMS Forum Spain, Asociación sin ánimo de lucro cuyo principal objetivo es fomentar la seguridad de la información.

Lo citado por el artículo contrasta con el hecho de que cada vez se utilizan más los medios electrónicos para todo tipo de actividades como son la relación con la administración pública, las transacciones bancarias, las operaciones de compra-venta y sobre todo el uso de las redes sociales tanto de un modo personal como comercial o empresarial. A pesar de todo ello, las empresas no son conscientes de la importancia que hay que prestar a la información, no sólo porque existe una normativa que así lo establece, sino porque la información es en muchos casos el principal activo y pilar fundamental de la empresa, tanto para su buen funcionamiento como para la generación de beneficios.

Por todo ello, en mi opinión si por ejemplo una empresa hace copias de seguridad de sus sistemas de información pero los almacena en el mismo lugar en el que se ubica el servidor o la mayoría de su información y dicha sala no dispone de medidas de seguridad mínimas (sala ignifuga con control de accesos, ventilación etc.), poca utilidad tendrán las citadas copias en caso de desastre o de un incidente grave en nuestros sistemas de información. Esto que dicho así parece una tontería, es uno de los incumplimientos más típicos en materia de seguridad de la información que suelo observar en las auditorías que realizo.

En conclusión, no se trata sólo de cumplir la legislación para que no nos multen, se trata de preservar la información porque es nuestro principal activo junto con nuestros clientes y su privacidad.

Para más info sobre protección de datos y las jornadas:

www.protegetuinformación.com

30 oct 2010

Redes sociales

Este es un video que hace poco que lo he descubierto a pesar de que ya lleva un par de meses colgado en Youtube, me parece que hay bastante de cierto en lo que comenta el rapero "Tote King" en su canción "Redes Sociales" y dado que ya es fin de semana y puente de todos los santos lo dejo para animar un poco.

¡Cierra el ... Tuenti ya! ¡Redes Sociales! ¡Redes Sociales! :)

http://www.youtube.com/watch?v=Gm4aGPsICTE

9 sept 2010

México ya tiene Ley de Protección de datos

El planteamiento de crear una nueva norma que regulara en México el tema de la privacidad, comenzó en 2001, finalmente, La Comisión de Gobernación aprobó por mayoría el dictamen por el cual se expide la Ley Federal de Protección de Datos Personales en Posesión de Particulares, en principio la idea es que las empresas que quieran adecuarse, obtengan como beneficio la ayuda y asistencia para la misma y evitar así las posibles sanciones que pueden llegar a 1.414.400 $ de dólares y en el caso de vulnerar datos especialmente sensibles, la sanción puede ascender a 2.828.800 $ por incumplir la nueva norma. Por otro lado el objetivo principal de la norma, es el de velar y garantizar los principios, derechos y procedimientos de los ciudadanos sobre sus datos de carácter personal.

De este modo, México se alinea con países miembros de la OCDE y la Unión Europea, al contar con una ley que prevé los principios en materia de datos personales que actualmente son observados por los países miembros de dichos organismos. Asimismo, México sería el primer país que emita una ley que cumpla con los estándares internacionales en materia de privacidad, aprobados en la Conferencia Mundial de Comisionados de Privacidad y Protección de Datos.

20 ago 2010

Apple ya está aquí

He de reconocer que esta noticia me alegra, porque a pesar de que no soy un gran consumidor de productos "Apple", es cierto que muchos de ellos me maravillan y la verdad que abran una tienda oficial es cuando menos interesante, yo personalmente he estado en la de Nueva York y me pareció espectacular el edificio y el funcionamiento de la misma en la cual podía un@ comprar y pagar en cualquier pasillo ya que había numerosos empleados con lectores de tarjetas de crédito para facilitar el cobro de las mismas sin necesidad de acudir a las cajas generales, consiguiendo así evitar las masificaciones y colas que se suelen crear en este tipo de giga-tiendas. La noticia la he leído en la edición de ABC electrónico:

La multinacional de la informática Apple, abrirá su primer tienda a principios de septiembre en el centro comercial La Maquinista de Barcelona, según comunicaron fuentes del sector inmobiliario a Efe.
Las Apple Store, como se conoce a las tiendas de Apple, ya se pueden encontrar en varias ciudades europeas, sin embargo España era una de las asignaturas pendientes de la compañía. Hasta el momento, la empresa operaba en el mercado local a través de distribuidores autorizados, bajo el nombre de K-tuin, o en espacios diferenciados en centros como el FNAC y El Corte Inglés.
Finalmente, y tras haber buscado una ubicación mas céntrica y de mayor visibilidad como el paseo de Gràcia, la empresa se instalará en el centro comercial, debido a la falta de locales disponibles en esa zona. El futuro Apple Store contará con 1.300 metros cuadrados en una sola planta y estará ubicado entre el local de Zara y el de Desigual. La tienda catalana será similar a las instaladas en ciudades como Nueva York, Londres o Tokyo, y dispondrá de todos los productos Apple ademas de brindar atención al cliente, servicios técnicos, cursos y formación.

19 ago 2010

El Blog ya está en Facebook

Tal y como comenté hace ya algún tiempo, tenía la intención de generar un perfil del Blog en Facebook, que apesar de que es una red social que no es santo de mi devoción en lo personal, hay que reconocer que tiene un efecto viral impresionante y por ello creo que es más que recomendable tener un perfil del blog o de la empresa, tienda, servicio etc. en esta red, en la que podemos combinar lo bueno de una red social con lo bueno de un blog.

De momento tengo el perfil bastante pelado, pero con el tiempo lo iré mejorando... :)

Introducción a la "LAECSP"

Hace ya algún tiempo que esta normativa se encuentra entre nosotros y dado que he tenido acceso a ella en numerosas ocasiones y dado que se me han planteado numerosas cuestiones, he considerado oportuno compartirlas en el blog con el propósito de ayudar al que se encuentre en aquellas situaciones en las que me encontraba yo hace poco tiempo. Lógicamente cuando hablamos de la "LAESCP" nos estamos refiriendo a la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Esta normativa, tiene como objetivo, reconocer el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos y regular los aspectos básicos de la utilización de las tecnologías de la información en la actividad administrativa, en las relaciones entre las Administraciones Públicas, así como en las relaciones de los ciudadanos con las mismas con la finalidad de garantizar sus derechos, un tratamiento común ante ellas y la validez y eficacia de la actividad administrativa en condiciones de seguridad jurídica. Para ello, Administraciones Públicas utilizarán las tecnologías de la información asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.

Dicho esto, dentro de sus criterios de aplicación, hay que tener en cuenta los diferentes conceptos con los que las Administraciones Públicas deben cumplir en el mundo electrónico y de Internet, tales como Sede Electrónica, Gestor de formularios, Registro electrónico, Pasarela de pagos, Gestor de expedientes, Notificación electrónica, Identificación electrónica, Archivo electrónico e Interoperabilidad. En concreto, en materia de certificados digitales cabe destacar que en general aunque la norma establece a modo general, que las firmas digitales avanzadas serán los certificados digitales a utilizar por parte de las Administraciones Publicas, una primera cuestión que se nos plantea es si estas deben llevan "Time Stamp" o no, ya que no todas las firmas avanzadas no necesariamente llevan con sigo dicho sello de fecha y hora, pero en el artículo 26.1 (Cómputo de plazos) de la LAECSP se establece:

Los registros electrónicos se regirán a efectos de cómputo de los plazos imputables tanto a los interesados como a las Administraciones Públicas por la fecha y hora oficial de la sede electrónica de acceso, que deberá contar con las medidas de seguridad necesarias para garantizar su integridad y figurar visible.

Conclusión, es mejor utilizar siempre “Timestamping”, a pesar de que técnicamente requiere más esfuerzo, ya que en la actualidad todavía no hay resoluciones que establezcan cuando se debe utilizar “TimeStamp” y cuando no. Más adelante continuaremos analizando diversas materias contenidas en esta normativa. hay resoluciones que establezcan cuando se debe utilizar “TimeStamp” y cuando no. Más adelante continuaremos analizando diversas materias contenidas en esta normativa

Más información: http://www.cenatic.es/laecsp/

16 ago 2010

Ley de Transparencia

Una nueva Ley está en proyecto de creación, tendrá como objeto reforzar la transparencia de las Administraciones Públicas Españolas incluyendo entre ellas no solo la Estatal, las Autonómicas y Locales, sino también todos aquellos organismos que desarrollen actividades de carácter público tales como colegios profesionales, mancomunidades de servicios y/o Universidades.

Está Ley tratará de reforzar el derecho de los ciudadanos a conocer la información de carácter público, tratando así de evitar y de establecer un mayor control a los poderes públicos con el fin de evitar casos de corrupción de personalidades con cargos públicos en las diversas entidades públicas. Los plazos para responder a las peticiones de los ciudadanos serán en principio de treinta días, aunque en algunos supuestos serán prorrogables a otros treinta días más y en principio en los supuestos en los que no se atienda o se deniegue injustificadamente el acceso a la información por parte de la Administración Pública correspondiente, se podrá acudir entonces a la vía contencioso administrativa para reclamar el acceso a la información, no obstante, para evitar los plazos y costes de la misma, se podrá acudir ante la Agencia Española de Protección de Datos, la cual pasará a denominarse "Agencia Española de Protección de Datos y Acceso a la Información".

Todo esto como no, desata numerosas cuestiones, tales como: ¿Tendrán las otras Agencia de Protección de Datos tales como la de Madrid, la Vasca o la catalana, competencias en esta materia? ¿Se verá afectada la normativa en materia de protección de datos por esta nueva norma? Lo que es seguro es que se trata de un proyecto de Ley y que en general en mi opinión, tendrá por parte de los ciudadanos una buena aceptación dados los cuantiosos supuestos de corrupción que han asolado numerosas Administraciones Públicas de este país.

Tal y como recoge el periódico el País en su noticia "Una ley regulará el 'derecho a saber' de los ciudadanos ante la Administración" será además la AEPD la que:

En un máximo de dos meses, y tras recabar las alegaciones de las partes, el director de la agencia -actualmente, Artemi Rallo, catedrático de Derecho Constitucional- dictará una resolución. El Gobierno ha querido curarse en salud, y en este trámite no se aplica el silencio positivo, sino el negativo. Además, sus resoluciones solo afectarán a la Administración central, no a la autonómica o a la local.

Esta última, en virtud de una modificación de la Ley de Régimen Local, deberá entregar a los ciudadanos que lo pidan "copias y certificaciones de los acuerdos de las corporaciones locales y sus antecedentes" y permitirles consultar sus archivos y registros.

Las administraciones no se limitarán a contestar las demandas de información, sino que deben adelantarse a difundirla. "Los poderes públicos facilitarán la información cuya divulgación resulte de mayor relevancia para garantizar la transparencia de su actividad", dice el texto. Y en la era de Internet lo harán "preferentemente por medios electrónicos".

Para más información:

http://www.elpais.com/articulo/espana/ley/regulara/derecho/saber/ciudadanos/Administracion/elpepuesp/20100816elpepinac_1/Tes

"SPAM"

Dado que creo que es un tema que afecta a casi todo el mundo, he decidido publicar una entrada en la que aporto tipos de comunicaciones que creo pueden resultar útiles para alejar a las empresas que sin nuestro consentimiento previo, se dedican a "Spamearnos" por diferentes medios tales como el e-mail, el teléfono ya sea por medio del teléfono fijo o móvil e incluso por medio del fax, también denominado este último como "Spam-fax". Pues bien como comentaba a continuación expongo el texto que deberemos remitir a la empresa o compañia que nos esté "Spameando" teniendo en cuenta el medio que estén utilizando en cada caso.

"ANTI SPAM CORREO ELECTRÓNICO"

Les agradecería que dejasen de enviarme publicidad vía correo electrónico. Mi correo electrónico esxxxxxxxx@hotmail.com

De lo contrario me veré obligado a presentar una denuncia ante la Agencia Española de Protección de Datos contra su empresa, por el incumplimiento del Artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del comercio Electrónico, así como lo establecido en el Artículo 38.1 h de la Ley32/2003, de 3 de noviembre, General de Telecomunicaciones. Reservándome el derecho a utilizar como documentación probatoria, los correos electrónicos publicitarios recibidos desde su empresa.

"ANTI SMS/MMS-SPAM"

Les agradecería que dejasen de enviarme publicidad vía SMS/ MMS. Mi número es 6xx xxx xxx

"ANTI SPAM-FAX"

Les agradecería que dejasen de enviarm publicidad vía FAX. Mi número es 943 xxx xxx

Por otro lado, Hace poco leí en un Post de Samuel Parra ya.com, France Telecom, y las llamadas comerciales, K.O., en el que indicaba los pasos y el largo camino que tuvo que recorrer para que dejarán de llamarle por teléfono con la intención de ofrecerle servicios de Internet, no obstante cabe destacar, que es posible conseguir que nos dejen de llamar a casa, aunque para ello haga falta una media de dos años de alegaciones escritos y solicitudes tal y como comenta Samuel Parra en su blog:

Sólo se ha necesitado 2 años para conseguir por la vía legal que ya.com (France Telecom) deje de llamar a mi domicilio para ofertarme sus productos, bajo la presión de que la siguiente llamada que reciba podrá suponer directamente una multa de hasta 300000 euros.

Nota de interés: En la red he encontrado esta entrada en tu experto.com la cual me ha parecido muy interesante: http://www.tuexperto.com/2008/11/24/como-evitar-recibir-llamadas-comerciales-en-el-telefono-fijo-o-movil/

17 may 2010

17 de Mayo, día de Internet

¿Qué es Internet y para qué sirve? En sentido estricto según Wikipedia, Internet es un conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de protocolos TCP/IP, garantizando que las redes físicas heterogéneas que la componen funcionen como una red lógica única, de alcance mundial. Ya que hoy es el día de Internet, día que tiene como objetivo principal difundir y promover el uso de Internet en la sociedad, no está demás preguntarse ¿Para qué sirve Internet? ¿Cual es su objetivo o finalidad? En mi opinión, Internet o la red sirve y debe servir cada vez más, para hacer llegar entre otras cosas la cultura a cuantas personas se pueda, para comunicarse, para buscar contenidos y auto-informarse de una manera más libre y objetiva, en definitiva para poder relacionarnos, educarnos, formarnos y expresarnos libremente. Por todo ello, hay que celebrar el día de Internet. Porque celebramos que Internet es libre que la información fluye y que los contenidos a día de hoy no los controlan ni los tarifican las grandes compañías de telecomunicaciones y para que esto siga siendo así no hay que olvidar principios tan básicos como la neutralidad de la red, por el que la red o Internet, debe continuar libre de restricciones en cuanto a los modos de comunicación permitidos, o por contenidos y que la comunicación no esté irrazonablemente degradada por otras comunicaciones e intermediarios. En definitiva, que la red siga siendo un marco en el que las personas puedan expresarse y relacionarse de manera diversa y libre sin sufrir la presión y las restricciones que algunos lobbies como las grandes compañías de telecomunicaciones quieren llevar a cabo.

Feliz día de Internet a tod@s.

14 may 2010

"La LOPD y los derechos y obligaciones de los trabajadores"

Quiero hacer hincapié en una de las cuestiones más controvertidas y polémicas que me suelo encontrar cuando realizo auditorías en materia de protección de datos de carácter personal. La de hoy, no es otra que la que se refiere a los derechos de los empleados o trabajadores y el derecho de las empresas a controlar el buen uso y optimización de sus recursos tecnológicos como son los Sistemas de Gestión de la Información corporativos, tales como el correo electrónico de empresa, los equipos informáticos y software de la empresa, el acceso y buen uso de Internet etc. Por eso recomiendo la lectura detallada de la siguiente guía que publicó hace ya algún tiempo la AEPD (Agencia Española de Protección de Datos) en su página Web www.agpd.es. La Protección de datos en las relaciones laborales, es una guía muy completa y esclarecedora sobre que puede hacer y que no puede hacer una empresa a la hora de controlar la correcta y eficiente gestión de sus sistemas de información como son los controles biométricos, la huella digital, la videovigilancia, los controles sobre el ordenador, las revisiones y/o el análisis o la monitorización remota, la indexación de la navegación por Internet, la revisión y monitorización del correo electrónico y/o del uso de ordenadores, controles sobre la ubicación física del trabajador mediante geolocalización etc. con todo este tipo de controles, las posibilidades de repercusión en los derechos del trabajador se multiplican.

En las páginas 27 y 28 de la citada guía, se establece que para el desarrollo de la función empresarial y en concreto, a la hora de decidir adoptar una medida de control que comporte un tratamiento de datos personales debe aplicarse el principio de proporcionalidad. Asimismo, debe cumplirse con el deber de información a los trabajadores, este deber resulta particularmente relevante cuando se trate de controles sobre el uso de Internet y/o del correo electrónico. En este caso es muy recomendable que la información a los trabajadores sea clara en lo que respecta a la política de la empresa en cuanto a utilización del correo electrónico e Internet, describiendo de forma pormenorizada en qué medida los trabajadores pueden utilizar los sistemas de comunicación de la empresa con fines privados o personales. Ej. Puede ser perfectamente razonable dotar de un dispositivo de geolocalización en tareas como el transporte de mercancías para las que resulte relevante conocer donde se encuentra el vehículo y en qué momento podrá realizar una determinada entrega. Ello no puede suponer que se facilite un dispositivo de esta naturaleza a todos los trabajadores de la empresa cuando su tipo de prestación no lo haga necesario, por lo que deberá existir una finalidad que, en este caso, no puede ser otra que la establecida por el Art. 20.3 ET de «verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales».

Es necesario recordar lo que ya se dijo sobre la existencia de un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores. Esa tolerancia crea una expectativa también general de confidencialidad en esos usos; expectativa que no puede ser desconocida, aunque tampoco convertirse en un impedimento permanente del control empresarial, porque, aunque el trabajador tiene derecho al respeto a su intimidad, no puede imponer ese respeto cuando utiliza un medio proporcionado por la empresa en contra de las instrucciones establecidas por ésta para su uso y al margen de los controles previstos para esa utilización y para garantizar la permanencia del servicio. Por ello, lo que debe hacer la empresa de acuerdo con las exigencias de buena fe es establecer previamente las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones. De esta manera, si el medio se utiliza para usos privados en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado "una expectativa razonable de intimidad" en los términos que establecen las sentencias del Tribunal Europeo de Derechos Humanos de 25 de junio de 1997 (caso Halford) y 3 de abril de 2007 (caso Copland) para valorar la existencia de una lesión del artículo 8 del Convenio Europeo par la protección de los derechos humanos. (Sentencia de la Sala de lo Social del Tribunal Supremo de 26 de septiembre de 2007).

12 may 2010

Nuevo Máster en redes sociales de la Universidad de Deusto (Bilbao)

Ayer por medio de uno de los grupos de Linkedin al que pertenezco me enteré de que La Universidad de Deusto, ha preparado un máster especializado en Redes Sociales, el máster dispone de varias áreas, en las que se analizan muchísimas materias tales como seguridad, ámbito jurídico, ámbito mercantil y de publicidad, reputación, las diferentes herramientas disponibles en las redes sociales, consultoría en redes sociales y muchísimas cuestiones más, para ver la programación completa, http://www.masterenredessociales.deusto.es/programa/.

El máster cuesta unos 12.500€ y cuenta con un total de 60 créditos ECTS, por lo que he podido saber en principio, se impartirá en Bilbao de modo presencial, aunque no sé si habrá posibilidad de realizarlo vía on-line.

En definitiva, es un máster de lo más interesante, aunque habrá que ver si tiene buena acogida en esta época de crisis.

Actualización: Sí que existe el modo de formación no presencial u on-line, tal y como lo explican en http://www.masterenredessociales.deusto.es/programa/.

7 may 2010

"Yo tampoco estoy en Facebook"

He decidido hacer esta entrada porque la verdad es que me ha sorprendido leer en el "New York Times" en su sección de tecnología, la siguiente noticia:

"Facebook Glitch Brings New Privacy Worries": On Wednesday, users discovered a glitch that gave them access to supposedly private information in the accounts of their Facebook friends, like chat conversations ...Not long before, Facebook had introduced changes that essentially forced users to choose between making information about their interests available to anyone or removing it altogether ...Although Facebook quickly moved to close the security hole on Wednesday, the breach heightened a feeling among many users that it was becoming hard to trust the service to protect their personal information...

Recomiendo leer todo el artículo ya que me ha parecido muy interesante y tal vez así nos demos cuenta de los riesgos reales de Facebook, la noticia entera la podéis consultar en www.nytimes.com

Casualidades de la vida, hace dos semanas yo también me di de baja en Facebook, ya que al igual que Jeffrey P. Ament (contratista del Gobierno de Estados Unidos, citado en el artículo del NYT) no me fío de la política en materia de protección de datos que lleva acabo Facebook, yo, que me dedico entre otras cosas a la protección de datos, estaba harto de ver como constantemente se vulnera el derecho a la intimidad de las personas y en el caso de Facebook esta vulneración para mi es clara. Si leemos y estudiamos su política de privacidad, sabemos más o menos a que atenernos, pero si dicha política de privacidad cambia cada dos por tres, ya no puede existir al menos en mi caso, confianza alguna en dicha red social. Por eso me ha llamado la atención esta noticia, porque destaca entre otras cosas, como se podía acceder a la información del chat de nuestros contactos algo que seguramente la mayoría de los usuarios desconocen o desconocían, por ese tipo de cuestiones yo decidí que no quería formar parte de Facebook.

No obstante, he de decir que para realzar negocios o mejorar las ventas, como por ejemplo a la hora de lanzar un producto o servicio al mercado creo que es una herramienta muy útil, más si cabe si se combina adecuadamente con otras herramientas como youtube, twiter u otras redes sociales, ya que se podría generar un valor añadido a nuestra empresa además de darle una mayor notoriedad en el mercado por medios de campañas de publicidad, lo cual seguramente se traduciría en un aumento de las ventas y por consiguiente de los ingresos de la compañía. Pero si Facebook lo usamos como red social en sentido estricto, es decir para relacionarnos con amigos ya sean estos viejos amigos o conocidos que no vemos en mucho tiempo o amigos íntimos, creo que en ese caso es una herramienta cuando menos peligrosa, ya que no considero Facebook como un canal seguro para ese tipo de relaciones, por eso entre otras cosas, yo he elegido no estar en facebook.

Actualización/ nota de interés 1:

http://profesores.ie.edu/enrique_dans/download/facebookprivacy-cincodias.pdf.

Actualización/ nota de interés 2:

http://www.blogoff.es/2009/10/28/10-situaciones-que-quieres-evitar-en-facebook-y-como-hacerlo/ (en Castellano) / http://laptoplogic.com/resources/10-things-not-to-do-on-facebook (en Inglés).

Actualización/ nota de interés 3:

http://www.enriquedans.com/2010/05/hablando-sobre-facebook-y-privacidad-en-cinco-dias.html

Actualización/ nota de interés 4: http://www.nytimes.com/2010/05/13/technology/personaltech/13basics.html?ref=technology

Actualización/ nota de interés 5: http://www.genbeta.com/redes-sociales/myspace-mejorara-su-configuracion-de-privacidad

23 feb 2010

¿Redes sociales o escaparates de la privacidad?

Hace unos días, estuve leyendo en distintos medios y discutiendo en grupos profesionales del sector de la privacidad sobre Google Buzz, el nuevo producto/ servicio de Google que fue lanzado al mercado el pasado dos de febrero. Google entraba otra vez en el mundo de las redes sociales (pues ya lo hizo anteriormente en 2004 cuando lanzó la red social Orkut), con el objetivo esta vez de desarrollar una nueva red social, para dar lugar a que los usuarios de Gmail así como de otros productos Google puedan ordenar y compartir su información de manera más eficiente y en tiempo real. Hasta aquí todo parece ser positivo, sin embargo e aquí parte del problema así como el motivo por el cual la empresa ha recibido cuantiosas críticas, y es que cuando un usuario se da de alta en el servicio, por defecto la aplicación, toma de los contactos del usuario los 40 con quienes tiene más trato a través de correo y Chat y los añade entre sus seguidores de Google Buzz. Esto podría estar bien si no llega a ser porque tal vez el usuario no quiera que nadie se entere de que personas le siguen y a cuales sigue, sobre todo si pensamos en países donde la libertad se encuentra restringida y donde no conviene que a una persona le relacionen con determinadas personas o tendencias políticas, lo mismo sucede en el caso de amantes o de relaciones privadas que no son de carácter público como son las que pueden vincular a los usuarios con miembros de empresas de la competencia, periodistas y sus fuentes, doctores y pacientes etcétera, hacer esas listas públicas puede crear serios problemas

En mi humilde opinión, Google no parece haberlo hecho de mala fe ni conscientemente ni por encima de cierta ética para obtener una mayor aceptación del producto en cuestión o una mayor rentabilidad del mismo, creo que ha sido un despiste en el afán de proporcionar un servicio más eficaz y cómodo para el usuario. No obstante debería cuidar más el tema de la privacidad de sus productos, pues es un tema por el que ya ha recibido críticas y por el que sus propios competidores como Facebook ya las han recibido anteriormente también. Además cabe destacar que la privacidad y/o la protección de datos, es un tema a tener muy en cuenta en el mercado Europeo de cara a cumplir con la legalidad vigente y con la voluntad de los usuarios de mantener si así lo desean la privacidad de cuales son sus contactos.

Por último, creo que aunque las ventajas del servicio son cuantiosas, también hay que tener en cuenta los contras que la misma acarrea. Destacar también, que tal y como sucede con otras redes sociales de cara a mantener los criterios de privacidad resulta altamente recomendable informarse antes de los derechos que nos asisten como usuarios de las mismas así como de los consejos y manuales que desde las Agencias de protección de datos se facilitan al los usuarios (AVPD, AEPD).

Antes de acabar este post, he comprobado que desde el blog de Gmail, ya hubo respuesta por parte de Todd Jackson a la oleada de quejas de muchísimos usuarios descontentos, en ella explicaba que la intención originaria era la difusión de Buzz de forma "rápida y fácil, para que los usuarios no tuvieran que crear una red social desde cero ". A pesar de ello, tal y como publicaba "El País" hace una semana: "El Centro de información sobre privacidad electrónica (EPIC) de Estados Unidos ha interpuesto una denuncia ante la comisión federal de comercio (FTC) argumentando que Buzz viola la ley federal de protección del usuario. La denuncia de EPIC insta a la FTC a reclamar a Google que Buzz sea un servicio completamente independiente y deje de utilizar la lista de contactos privada de Gmail para recopilar listas y crear la red social además de dar al usuario un "control significativo" sobre sus datos personales. "Esto es una golpe significativo a las expectativas de privacidad que tienen los usuarios. A Google no le debería estar permitido aprovechar la información personal de los usuarios para crear una red social que ellos no han pedido", declaró el director ejecutivo de EPIC, Marc Rotenberg".

Esperemos que de esta desagradable situación el equipo de Google saque las conclusiones adecuadas para que no vuelvan a suceder este tipo de cosas, ya que las redes sociales pueden estar muy bien, pero nunca deben ser escaparates de la privacidad.

El presente “Post” surge entorno a la Política de Privacidad de los servicios ofrecidos por Google Apps en cuanto a su adecuación al Derecho Nacional y Europeo en materia de protección de datos y de telecomunicaciones. Hace más de un año, se publicó el informe realizado por la consultoría “Forrester”, “Should Your Email Live In The Cloud? A Comparative Cost Analysis” en el que se declaraban las virtudes y ahorros de los servicios de la compañía Google en el ámbito de las aplicaciones utilizadas por parte de las empresas, como son los sistemas de telecomunicaciones, mensajería etc. Este primer informe, fue objeto de análisis por parte del bufete de abogados “Almeida.com”, en concreto por parte de Javier Maestre, en el artículo “El cuento de la Lechera 2.0”, publicado por el mundo, en el se cual cuestionaba la legalidad en materia de telecomunicaciones, así como en materia de privacidad y de protección de datos sobre los servicios ofrecidos por Google Apps. Lo cual suscitó la inmediata respuesta por parte del director de Google Enterprise España y Portugal, Carlos Gracia Armendáriz con el artículo “Esto no es un cuento 2.0”, también publicado por el Mundo.

Por todo ello y por la ardua polémica que se generó entorno a la Política de Privacidad de los servicios de Google Apps, voy a proceder a analizar la situación actual entorno a la Política de Privacidad del servicio de mensajería de Google (Gmail), así como el planteamiento de posibles soluciones a las cuestiones o interrogantes que pudieran surgir.

En este caso, si atendemos a las obligaciones que establece la LGT, deberemos tener en cuenta que en el presente supuesto si una empresa decide instalar y utilizar Gmail como servicio de correo electrónico interno o para sus colaboradores y/o personas o terceros vinculados con la comercialización o desarrollo de los servicios de la empresa lo utilicen, no se considerará a Gmail ni a la empresa contratante del servicio como un operador de telecomunicaciones, ya que el servicio no se difunde con el fin de prestar servicios de telecomunicaciones sino que se utiliza como una herramienta tecnológica más de la empresa. No obstante, en caso de una interpretación más estricta y sí que resultase de aplicación el Artículo 6.2 de la LGT (“Requisitos exigibles para la explotación de las redes y la prestación de los servicios de comunicaciones electrónicas. 2. Los interesados en la explotación de una determinada red o en la prestación de un determinado servicio de comunicaciones electrónicas deberán, con anterioridad al inicio de la actividad, notificarlo fehacientemente a la Comisión del Mercado de las Telecomunicaciones (CMT) en los términos que se determinen mediante real decreto, sometiéndose a las condiciones previstas para el ejercicio de la actividad que pretendan realizar. Quedan exentos de esta obligación quienes exploten redes y se presten servicios de comunicaciones electrónicas en régimen de autoprestación”.

Asimismo la LGT recoge entre sus preceptos los siguientes obligaciones:
“deben inscribirse en el Registro de Operadores de Redes y Servicios de Comunicaciones Electrónicas, gestionado por la CMT, las empresas que presten alguno de los siguientes servicios”:
• Servicio de acceso a la red de Internet.
• Servicio de correo electrónico (actual supuesto).
• Servicio de acceso a bases de datos.
• Servicio de noticias.
En ese caso, tanto Google como la empresa contratante del servicio, deberían registrarse en el “Registro de operadores de redes y servicios de comunicaciones electrónicas” para servicios de correo electrónico de la CMT. En caso de no cumplir los preceptos descritos anteriormente y si aplicásemos de forma estricta los preceptos legales establecidos en el Artículo 6.2 de la LGT, tanto Google como la empresa contratante del servicio de correo electrónico (Gmail) podrían ser sancionadas por “conductas que están tipificadas como infracciones muy graves”, dichas infracciones se recogen en el Artículo 53 a) y t), el importe por este tipo de infracción se recoge a su vez en el Artículo 56.1 (Sanciones) en su apartado1 b). El importe de la sanción se determinará en cada caso concreto, y estará ligada al beneficio bruto obtenido, siendo el importe no inferior a esta cifra, ni superior al quíntuplo de ella. Según la ley, el máximo aplicable es de dos millones de euros al ser una infracción considerada como muy grave por la LGT. Contra esta resolución cabe la apelación y justificación de la documentación remitida para la revisión del caso por parte de la CMT. Y si no hubiera acuerdo, los denunciados podrían acudir a la Audiencia Provincial. No obstante este sería el peor de los casos y hay que tener en cuenta que sólo se puede interpretar de esta manera si la empresa contratante diese una dirección de correo electrónico a terceros no pertenecientes a la misma, por lo que bastaría con no dar este tipo de correo a terceros para evitar la sanción. Además de todo expuesto anteriormente, la CMT diferencia entre la figura de Revendedor y distribuidor del servicio de mensajería electrónica, la diferencia radica en que el primero obtiene beneficio directo (lucro directo) por la prestación del servicio y el segundo en principio no.

No obstante, lo más adecuado sería que Google en su política de privacidad o en los contratos a suscribir con nuevos clientes para la contratación de sus servicios de Google Apps o en concreto en este caso el de mensajería electrónica (Gmail), la inclusión de una cláusula en la que se prohíba expresamente a la empresa contratante la posibilidad de otorgar cuentas de correo electrónico (de “Gmail”) a terceros no integrantes de la misma, o en su caso si así lo hiciese estableciendo expresamente que ello se hace bajo su responsabilidad. Asimismo resultaría altamente recomendable que Google controlase en la medida de los posible el cumplimiento de la citada cláusula. En definitiva, habrá que evitar generar cuentas de correo a clientes, colaboradores así como otro tipo de terceros ajenos al personal estrictamente integrante de la plantilla de la empresa contratante del servicio, ya que de no optar por esta vía, se deberán cumplir los requisitos previstos en la LGT en su Artículo 6, dado que estaremos actuando como prestadores de servicios de telecomunicaciones y al no encontrarnos registrados en el “Registro de operadores de redes y servicios de comunicaciones electrónicas” para servicios de correo electrónico, podremos ser objeto de la citada sanción por parte de la CMT. Si bien cabe aclarar que la CMT no actúa de oficio, no obstante existen resoluciones de la CMT en las que se han impuesto sanciones por infracciones similares a las descritas anteriormente, por lo que resultan recomendables las medidas a tomar anteriormente establecidas. Un ejemplo de sanción establecida por el incumplimiento del Artículo

Por último destacar que el registro como operador de telecomunicaciones es un procedimiento gratuito. Sin embargo, si se realiza una explotación económica del servicio estas empresas estarán obligadas a pagar unas tasas anuales que suponen el 1,25 por 1.000 de los ingresos brutos de explotación. Es decir, si la facturación no es elevada, la tasa aplicable resultará mínima.

Protección de Datos/ Política de Privacidad:

En cuanto a la protección de datos se refiere, deberemos tener en cuenta los preceptos legales establecidos por la LOPD, el RDLOPD que la desarrolla así como la Decisión de la Comisión 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU., 2000/540/CE.
En el caso de Google al tratarse de una empresa que dispone de servidores en diferentes Estados por todo el mundo, habrá que tener en cuenta donde se encuentran ubicados dichos servidores, es decir si hablamos de estados miembros, será de aplicación la Directiva 95/46/CE, pero en el caso de que los servidores se encuentren ubicados en Estados que no pertenezcan al espacio de la Comunidad Europea, se deberá observar si disponen de algún tipo de acuerdo o convenio en el que se establezcan las medidas de seguridad oportunas y en caso de no ser así se deberá solicitar autorización expresa para la cesión internacional de los datos personales al Director de la Agencia Española de Protección de Datos.
En el caso que nos ocupa se plantean como ejemplo para la recepción de los datos cedidos por la empresa contratante Española a dos países, Irlanda el cual es miembro de la Unión Europea, por lo que será de aplicación la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Y EE.UU., en este caso es diferente ya que al tratarse de un Estado no miembro, le será de aplicación la Decisión 2000/540/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU. Por lo que para garantizar la efectividad de la decisión, el Departamento de Comercio de Estados Unidos de América, o su representante, debe mantener a disposición del público una lista de entidades que auto certifiquen su adhesión a los principios y a su aplicación y quedar sujetas a la jurisdicción de la “Federal Trade Comission” (FTC Comisión Federal de Comercio), con arreglo a la competencia que le confiere el Artículo 5 de la Ley de la Comisión Federal de Comercio, o del Departamento de Transporte de Estados Unidos, con arreglo a la competencia que le confiere el Artículo 41.712 del Título 49 de la United States Code, los cuales estarán facultados para investigar las quejas que se presenten y solicitar medidas provisionales contra las prácticas desleales o fraudulentas, así como reparaciones para los particulares que estén sujetos a esta jurisdicción, independientemente de su país de residencia o de su nacionalidad.
Se considerará así, a tenor de los requisitos exigidos en la Directiva 95/46/CE, que los principios de puerto seguro garantizan un nivel adecuado de protección de los datos personales transferidos desde la Comunidad Europea a entidades establecidas en Estados Unidos, siempre que la entidad receptora de los datos (en este caso Google) haya manifestado al Departamento de Comercio de Estados Unidos o a su representante, de forma inequívoca y pública, su compromiso de cumplir estos principios de puerto seguro y se sujete a la jurisdicción a la que nos hemos referido.
Cabe destacar que la adhesión a los requisitos de puerto seguro, es voluntaria, actualmente tanto para registrarse como para acceder a la lista pública de las entidades suscritas a los requisitos de puerto seguro, se puede realizar accediendo a la Web del Departamento de Comercio de EE.UU.:
http://www.export.gov/safeharbor/Safe_Harbor_Instructions.asp (en esta Web podemos observar la legislación y jurisdicciones que son aplicables al Puerto Seguro así como el contenido del mismo). En la siguiente dirección podemos acceder al listado de entidades suscritas a los requisitos establecidos por el Departamento de Comercio de Estados Unidos en cuanto al Puerto Seguro se refiere:
http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list.
Actualmente Google se encuentra inscrita en el registro de la Página Web (http://www.export.gov/safeharbor) en concreto en la “Safe Harbour List” o Lista de Puerto Seguro, en la siguiente dirección que se detalla a continuación:

http://bit.ly/JT4XkL (El cual da acceso a la siguiente información):

De la información que muestra este registro se desprende que Google voluntariamente se ha suscrito al documento de Puerto Seguro en el que se detallan los principios y obligaciones generales adoptados por la Decisión 2000/540/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE (en particular el Artículo 25 apartados 2 y 6 así como el artículo 26 apartado 3) del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU. Tal y como se plasma en el apartado dieciséis del registro del Departamento de Comercio sobre Puerto Seguro:

“Do you agree to cooperate and comply with the European Data Protection Authorities? Yes”

Puerto Seguro es una Decisión de adecuación de carácter sectorial a la que pueden acogerse, exclusivamente, compañías establecidas en los EE.UU., por lo que no se puede extender su aplicación, como en algún momento se ha pretendido (e incluso se sigue pretendiendo) a compañías filiales de empresas americanas establecidas fuera de este país.

No obstante, es importante recalcar que además de los requisitos, deberes y obligaciones establecidos en la documentación de puerto seguro que ha suscrito Google, por el cual se adquiere también el compromiso de cumplir las obligaciones y deberes recogidos en la Decisión 2000/540/CE de la Comisión Europea del 2000 de 26 de julio. También habrá que tener en cuenta que la Comisión ha establecido que todas las decisiones (incluida la Decisión 2000/540/CE sobre la cesión de estados miembros a EE.UU.) de adecuación respecto de terceros países aprobadas hasta la fecha por la Comisión tienen un serie de elementos comunes. En primer lugar, las decisiones establecen, taxativamente, que la aplicación de las mismas sólo afecta a las transferencias de datos personales al tercer país desde la UE y, en ningún caso, al resto de condiciones y obligaciones establecidas en el Derecho nacional de cada Estado miembro. En el supuesto que nos ocupa, esto quiere decir que además de las obligaciones recogidas en los requisitos de Puerto Seguro a los que se ha suscrito Google, también deberá cumplir con la normativa Española en materia de protección de datos.

Además, sin perjuicio de las competencias que les asignen las Leyes nacionales, se otorga a las Autoridades de Control de los Estados miembros la posibilidad de bloquear una transferencia determinada cuando la autoridad de supervisión del país tercero ha resuelto que la entidad ha vulnerado las condiciones de la Decisión o si existen grandes probabilidades de que se estén vulnerando las normas de protección de datos y la autoridad de supervisión del país tercero no ha tomado ni tomará las medidas necesarias para resolver el caso, la continuación de la transferencia podría crear riesgo inminente de grave perjuicio a los afectados y, además, la autoridad de control del Estados miembro ha hecho esfuerzos razonables para notificárselo a la entidad y proporcionarle la oportunidad de alegar.

Una vez analizado el marco general de las transferencias internacionales de datos personales en la Directiva, pasaremos a ocuparnos del caso concreto de EE.UU. Para comenzar, debemos preguntarnos porqué existe un problema entre EE.UU. y la UE. El problema se deriva de la existencia de dos entendimientos distintos de lo que la privacidad es y significa y de los mecanismos que deben utilizarse para su salvaguardia.

Para la UE, la protección de datos personales es un derecho fundamental de los ciudadanos. Así lo reconocen explícitamente algunas constituciones de los Estados miembros (la española, entre ellas). Además, tanto la UE mediante diversas directivas como sus Estados miembros al transponer las mismas, han aprobado normas jurídicas de obligado cumplimiento y de carácter general en las que se establecen los principios y los derechos que los ciudadanos tienen respecto al tratamiento de sus datos personales. Finalmente, en todos los Estados miembros existen autoridades de control independientes encargadas de la supervisión del cumplimiento de la legislación en esta materia.

Por su parte, en EE.UU. la protección de datos se considera un elemento disponible por parte de los ciudadanos, regulado parcialmente en una multitud de normas específicas y sectoriales8 sin conexión entre ellas, poniéndose casi todo el énfasis en la autorregulación y sin que exista una autoridad o autoridades de control encargadas de garantizar eficazmente el cumplimiento de las reglas y la aplicación de unos estándares universalmente aceptados. Por ello, esta situación hacía inviable la posibilidad de una declaración de adecuación de los EE.UU. por parte de la Comisión Europea.

El sistema de adhesión por parte de las empresas de manera voluntaria a los requisitos de Puerto Seguro, se fundamenta, exclusivamente, en una declaración unilateral de las compañías respecto de que cumplen los requisitos de Puerto Seguro y, posteriormente, el control de dicho cumplimiento se encomienda a una auditoría que se puede llevar a cabo por personal interno de la entidad. Es decir, es un esquema de auto certificación, autorregulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro.

Al resultar de aplicación la normativa española además del Puerto seguro, habrá que tener en cuenta el ámbito de aplicación en cuanto a la legislación Española en materia de protección de datos queda clarificado por el Artículo 2 de la LOPD Ámbito de aplicación.
1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

En relación a este último documento legal , ciñéndonos al caso español, si se desea transferir datos a un país tercero con la finalidad de que en el mismo se produzca un tratamiento por encargo del responsable establecido en España, con independencia de los mecanismos que se utilicen para la legitimación de la transferencia (país de destino adecuado, garantías contractuales, etc.) deberán cumplirse las obligaciones que establece el Artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), respecto de la obligatoriedad de regular dicho tratamiento mediante un contrato que incluya una serie de requisitos imprescindibles.

De la misma manera, si la transferencia constituye una cesión o comunicación de datos, para poder realizarla deberá de estarse en presencia de alguno de los supuestos legitimadores presentes en el Artículo 11 de la LOPD.
Asimismo, además de los dos artículos citados, también se deberán tener en cuenta de cara a cumplir con las obligaciones previstas en la normativa española sobre protección de datos de carácter personal el Artículo 10 del RDLOPD, en el que se establecen los supuestos en los que se legitima el tratamiento o cesión de datos. También se deberá cumplir con los preceptos legales recogidos en el Artículo 21 RDLOPD en el caso de que Google subcontrate parte de su servicio a terceras empresas, como podría suceder si mantuviera la información en Irlanda y en EE.UU. ya que se produciría una subcontratación del servicio, por lo que se debería cumplir con lo establecido en el citado artículo. También será de aplicación el Artículo 22 para la conservación de los datos por parte del encargado del tratamiento (en este caso Google).
El Artículo 12 del RDLOPD (Principios generales), también resultará de aplicación indirectamente:
1. El responsable del tratamiento deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes.
La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.
2. Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo.
3. Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.
Por último cabe destacar que al igual que el Artículo 12 LOPD en cuanto a las obligaciones del encargado de tratamiento se refiere, también el responsable del fichero (empresa contratante) deberá velar y ser diligente a la hora de elegir al encargado de tratamiento, por ello deberá verificar que el encargado de tratamiento (en este caso Google), cumple con las medidas establecidas por el RDLOPD 1720/2007, en concreto en lo que a las medidas de seguridad establecidas en el Artículo 88 del RDLOPD se refiere. Este último artículo establece las siguientes medidas de las que la empresa contratante debería solicitar a Google por medio de verificaciones periódicas oportunas, para ello Google debería procedimentar los procesos de seguridad actuales en los que se cumplan con las medidas de seguridad técnicas establecidas en el Artículo 88 del RDLOPD (Documento de Seguridad), como son:
1. El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
2. El documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de documento interno de la organización.

3. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:
a) La identificación del responsable o responsables de seguridad.
b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
5. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.
6. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o tratamientos afectados.
En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento.
7. El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
8. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Todas estas obligaciones, se podrán concretar de varias formas, como por ejemplo por medio de Códigos Tipos como los recogidos en la Página Web de la AEPD, en los que se establece de manera privada las obligaciones de las partes respecto a las obligaciones legales en materia de protección de datos de carácter personal sería lo más recomendable para subsanar todos los defectos que pudieran derivarse de una no adecuada adaptación de los preceptos legales de la normativa Española a las medidas que adopta Google actualmente, otra opción es la inclusión de las mismas en los contratos a suscribir por Google y sus clientes o la inclusión de las citadas medidas legales en la Política de Privacidad de Google.

Para que la empresa Google se adecue a la normativa Española y Europea por completo en materia de protección de datos de carácter personal, debería suscribir con sus clientes un contrato de Encargado de Tratamiento, en el que se establezcan sus obligaciones y responsabilidades.